Nuevo malware de WordPress que infecta sitios web y aprovecha el brote de coronavirus

Se espera que los ciberdelincuentes se aprovechen de la pandemia en curso, COVID-19. Aunque ya están sueltos con numerosos ataques de phishing y malware, un nuevo grupo llamado WP-VCD va por detrás de los usuarios de WordPress en términos de complementos maliciosos. Esta no es una forma nueva, pero engañarlos como complementos originales para que se instalen y comprometer otros sitios en el mismo servidor es algo nuevo. Y se está extendiendo, mejorando seriamente la situación actual.

código wp-vcd
código wp-vcd

Disfrazado para servir actualizaciones de COVID-19

Los atacantes de WP-VCD están difundiendo su complemento malicioso a través de sitios web externos. Y estos complementos pirateados tienen código modificado que se crea en beneficio de los atacantes, no de los usuarios. Tienen la intención de brindarles a los usuarios actualizaciones continuas de Coronavirus, con nombres como “Gráficos de predicción de propagación de coronavirus” o “COVID-19 Coronavirus – Complemento de WordPress de mapa en vivo”. Varios administradores de WordPress los están descargando como una característica adicional, pero están creando puertas traseras para inyectar más malware.

Lo peor de todo es que no solo se limitan al sitio al que está conectado, ¡sino a otros sitios que comparten el mismo alojamiento! El malware está diseñado para infectar todos estos sitios web y utilizarlos para publicar anuncios emergentes o redirigir a los usuarios para generar ingresos para los atacantes.

Un ejemplo de un anuncio mostrado por el malware WP-VCD
El malware WP-VCD muestra un anuncio de ejemplo

¿Cómo lo hicieron?

Se trata principalmente de archivos ZIP que contienen cadenas codificadas en base64 maliciosas. Según lo analizado por BleepingComputer, estos complementos tienen una cosa en común: un class.plugin-modules.php. Inmediatamente después de la instalación, toma las cadenas codificadas en base64 de las variables WP-VCD y las guarda en wp-includes / wp-vcd.php. Luego se agrega al archivo malicioso PHP WP-VCD y se carga cada vez que se carga la página del sitio web.

Además, este complemento malicioso incluso busca otros temas en el sitio y agrega esta cadena base64 para infectarlos a todos. Después de toda esta configuración, finalmente se conecta al servidor C2 del atacante para comandos intencionales como la publicación de anuncios no deseados o redirecciones. ¡Y una forma de detener todo esto es no instalar complementos de fuentes desconocidas! Es así de simple.

Fuente – BleepingComputadora